Nom:Worm/Zafi.D
La date de la découverte:14/12/2004
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:11.745 Octets
Somme de contrôle MD5:387ea0a6f410281971b3fc53b7777a40
Version VDF:6.29.00.15

 Général Méthode de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32/Zafi.d@MM
   •  Mcafee: W32/Zafi.d@MM
   •  Kaspersky: Email-Worm.Win32.Zafi.d
   •  Sophos: W32/Zafi-D
   •  Grisoft: I-Worm/Zafi.D
   •  Bitdefender: Win32.Zafi.D@mm


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\Norton Update.exe



Les fichiers suivants sont créés:

– Un fichier qui contient des adresses d'e-mail collectées:
   • %SYSDIR%\%aléatoire%.dll

– C:\s.cm

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"



La clé de registre suivante est ajoutée:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="%le nom d'utilisateur courant%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%chaîne de caractères aléatoire%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
La langue dans laquelle l'email est envoyé dépend du Top-Level-Domain.


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)
– Les adresses créées


Sujet:
Un des suivants:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!



Corps:
– Il contient du code HTML


Pièce jointe:
Les noms de fichier des attachements sont construits de ce qui suit:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    Parfois continue par un des suivants:
   • christmas
   • index

    Continué par une des extensions fausses suivantes :
   • gif%chaîne de caractères aléatoire de quatre digits%
   • jpg%chaîne de caractères aléatoire de quatre digits%
   • php%chaîne de caractères aléatoire de quatre digits%

    L'extension du fichier est une des suivantes:
   • zip
   • cmd
   • bat
   • pif



Voici quelques exemples de la manière dont le nom du fichier de la pièce jointe pourrait ressembler:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

La pièce jointe est une archive contenant une copie du virus



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Il utilise la même liste de domaine que mentionné ci-dessus.

Le domaine est un de ceux qui suivent:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il cherche les répertoires qui contient une des sous chaîne de caractères suivantes:
   • share
   • upload
   • music

   En cas de succès, les fichiers suivants sont créés:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Ces fichiers sont copies du Malware.

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • firewall
   • virus
   • reged
   • msconfig
   • task


 Porte dérobée Le port suivant est ouvert:
sur le port TCP 8181 afin de fournir de capacités de porte dérobée

 Informations divers Mutex:
Il crée le Mutex suivant:
   • Wxp4

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG 2.0

Description insérée par Ernest Szocs le vendredi 26 octobre 2007
Description mise à jour par Ernest Szocs le vendredi 26 octobre 2007

Retour . . . .